مايكروسوفت قد لا تتمكن من إصلاح ثغرة يوم الصفر في إصدار قديم من خادم الويب الخاص بخدمات معلومات الإنترنت التي استهدفها المهاجمون في شهري يوليو وأغسطس من العام الماضي. يتيح الاستغلال للمهاجمين تنفيذ تعليمات برمجية ضارة على خوادم Windows التي تقوم بتشغيل IIS 6.0 بينما تقوم امتيازات المستخدم بتشغيل التطبيق. يتوفر الآن إثبات مفهوم استغلال للثغرة الأمنية في IIS 6.0 للعرض على GitHub ، وبينما لم يعد IIS 6.0 مدعومًا ، فإنه لا يزال مستخدمًا على نطاق واسع حتى اليوم. توقف دعم هذا الإصدار من IIS في يوليو من العام الماضي إلى جانب دعم Windows Server 2003 ، منتجها الأصلي.
تثير الأخبار القلق بين المتخصصين في مجال الأمن حيث تشير استطلاعات خادم الويب إلى أن IIS 6.0 لا يزال يستخدم من قبل الملايين من مواقع الويب العامة. أيضًا ، من الممكن أن عددًا كبيرًا من الشركات لا يزال بإمكانها تشغيل تطبيقات الويب على نظام التشغيل Windows Server 2003 و IIS 6.0 داخل مؤسستهم. لذلك ، يمكن للمهاجمين استخدام الخلل لأداء الحركات الجانبية إذا تمكنوا من الوصول إلى شبكات الشركة.
قبل نشره على GitHub ، كان عدد قليل من المهاجمين على دراية بالثغرة الأمنية - حتى وقت قريب. الآن ، هناك دليل على أن العديد من المهاجمين يمكنهم الآن الوصول إلى الخلل الذي لم يتم إصلاحه. يقدم مورد الأمان Trend Micro التفسير التالي للثغرة الأمنية:
قد يستغل مهاجم بعيد مشكلة عدم الحصانة هذه في مكون IIS WebDAV بطلب مُعد باستخدام أسلوب PROPFIND. قد يؤدي الاستغلال الناجح إلى رفض شرط الخدمة أو تنفيذ تعليمات برمجية عشوائية في سياق المستخدم الذي يقوم بتشغيل التطبيق. وفقًا للباحثين الذين اكتشفوا هذا الخلل ، تم استغلال هذه الثغرة في البرية في يوليو أو أغسطس 2016. تم الكشف عنها للجمهور في 27 مارس. الجهات الفاعلة الأخرى في مجال التهديد هي الآن في مراحل إنشاء تعليمات برمجية ضارة بناءً على كود إثبات المفهوم الأصلي (PoC).
أشارت Trend Micro إلى أن التأليف الموزع على الويب وتعيين الإصدار (WebDAV) هو امتداد لبروتوكول نقل النص التشعبي القياسي الذي يتيح للمستخدمين إنشاء المستندات وتغييرها ونقلها على الخادم. يوفر الامتداد دعمًا للعديد من طرق الطلب مثل PROPFIND. توصي الشركة بتعطيل خدمة WebDAV على تثبيتات IIS 6.0 للمساعدة في تخفيف المشكلة.
